Semgrep автоматизируют поиск уязвимостей в программном коде
21.02.2022 392 0
Проверка безопасности создаваемого кода зарекомендовала себя как ресурсоёмкий процесс, значительно замедляющий разработку ПО даже в крупных софтверных компаниях, которые могут себе позволить иметь специализированные отделы программной безопасности.
Стартап r2c поставил перед собой задачу облегчить поиск уязвимостей в программном коде с помощью разработанного им инструмента с открытым кодом.
Подобно тому как Grammarly находит грамматические ошибки или возможности для улучшения в тексте эссе или электронных писем, ПО Semgrep от r2c просеивает строки кода в поисках тысяч потенциальных ошибок и уязвимостей.
В основу Semgrep положен старый открытый проект анализатора кода для Facebook. Трое аспирантов MIT — основатели r2c — вдохнули новую жизнь в этот инструмент, добавив в него возможность более глубокого понимания кода, поддержку более 25 языков применяемых для кодирования мобильных устройств, серверной части, интерфейса и веб-разработки, а также интеграцию со Slack и современными процессами обеспечения безопасности.
База данных Semgrep несёт в себе более 1500 готовых правил. Специалисты по безопасности могут использовать их для автоматического сканирования кода, либо написать собственные правила, используя интуитивно понятный интерфейс r2c, а затем дополнить ими базу данных.
Помимо упрощения процесса проверки соблюдения стандартов кода, r2c выступает центром «кристаллизации» сообщества профессионалов безопасности, которые могут обмениваться идеями и проводить мозговые штурмы для устранения новейших угроз.
Среди крупных клиентов Semgrep такие компании, как Slack, Dropbox и Snowflake. О важном проекте, в котором было использовано ПО Semgrep, недавно сообщил МИД одной из крупных стран.
С ростом популярности Semgrep, основатели фирмы r2c надеются использовать его для создания аналитических сервисов, чтобы мгновенно предоставлять разработчикам отчёты о состоянии безопасности их кодовых баз.
Стартап r2c поставил перед собой задачу облегчить поиск уязвимостей в программном коде с помощью разработанного им инструмента с открытым кодом.
Подобно тому как Grammarly находит грамматические ошибки или возможности для улучшения в тексте эссе или электронных писем, ПО Semgrep от r2c просеивает строки кода в поисках тысяч потенциальных ошибок и уязвимостей.
В основу Semgrep положен старый открытый проект анализатора кода для Facebook. Трое аспирантов MIT — основатели r2c — вдохнули новую жизнь в этот инструмент, добавив в него возможность более глубокого понимания кода, поддержку более 25 языков применяемых для кодирования мобильных устройств, серверной части, интерфейса и веб-разработки, а также интеграцию со Slack и современными процессами обеспечения безопасности.
База данных Semgrep несёт в себе более 1500 готовых правил. Специалисты по безопасности могут использовать их для автоматического сканирования кода, либо написать собственные правила, используя интуитивно понятный интерфейс r2c, а затем дополнить ими базу данных.
Помимо упрощения процесса проверки соблюдения стандартов кода, r2c выступает центром «кристаллизации» сообщества профессионалов безопасности, которые могут обмениваться идеями и проводить мозговые штурмы для устранения новейших угроз.
Среди крупных клиентов Semgrep такие компании, как Slack, Dropbox и Snowflake. О важном проекте, в котором было использовано ПО Semgrep, недавно сообщил МИД одной из крупных стран.
С ростом популярности Semgrep, основатели фирмы r2c надеются использовать его для создания аналитических сервисов, чтобы мгновенно предоставлять разработчикам отчёты о состоянии безопасности их кодовых баз.
| Комментарии (0) |